用REPLACE函数防注入（麻烦别灌水。）

长天 · 发表于 2007 年 1 月 29 日 19:20:17

原帖由 我踏MJ而来 于 2007-1-29 19:19 发表
..你那个不是注入,对那些URL之类的要php正则匹配或者htmlspecialchars转码

呵呵
哦，明白了

winsock · 发表于 2007 年 1 月 29 日 19:28:04

原帖由 我踏MJ而来 于 2007-1-29 18:54 发表
是字符窜，如果没打开magic_quotes_gpc,那么字符窜就不会自动addslashes....如果select * from stat=\'$var1\',那么只要字符窜是\' or uid=1 and \'a\'=\'a就成了注入...不过一般要么gpc自动addslashes,要么人工addsl ...

宝宝，addslashes不能解决 ; 号的注入，你骗我买的那书上介绍有

我踏MJ而来 · 发表于 2007 年 1 月 29 日 19:29:21

原帖由 winsock 于 2007-1-29 19:28 发表

宝宝，addslashes不能解决 ; 号的注入，你骗我买的那书上介绍有

包包..你那本书8系送淫了么..

winsock · 发表于 2007 年 1 月 29 日 19:31:37

原帖由 我踏MJ而来 于 2007-1-29 19:29 发表

包包..你那本书8系送淫了么..

不是送了，是卖了，所以我现在才说不出具体第几页, 反正在mysql那一节

我踏MJ而来 · 发表于 2007 年 1 月 29 日 19:32:11

原帖由 winsock 于 2007-1-29 19:31 发表

不是送了，是卖了，所以我现在才说不出具体第几页, 反正在mysql那一节

那本书上面说用
mysqli_escape_string,还要再替换一些,不过一般不复杂的查询用addslashes也够了,DZ也就用addslashes

[ 本帖最后由我踏MJ而来于 2007-1-29 19:34 编辑 ]

长天 · 发表于 2007 年 1 月 29 日 19:37:15

哇咔咔，宝宝
是什么书，介绍一下

我踏MJ而来 · 发表于 2007 年 1 月 29 日 19:39:34

php和mysql web应用开发核心技术..

建议表买,这书木看头..偶和大兵宝宝狠后悔..........

winsock · 发表于 2007 年 1 月 29 日 19:43:52

原帖由 我踏MJ而来 于 2007-1-29 19:39 发表
php和mysql web应用开发核心技术.. 建议表买,这书木看头..偶和大兵宝宝狠后悔..........

宝宝，你终于承认那本书垃圾了，老子当年说那本书垃圾，你还死不承认。

我踏MJ而来 · 发表于 2007 年 1 月 29 日 19:45:40

原帖由 winsock 于 2007-1-29 19:43 发表

宝宝，你终于承认那本书垃圾了，老子当年说那本书垃圾，你还死不承认。

大兵包包,哥哥送你..
public class dabing {
string name;
public string name {
   get {
      return "mujj";
   }
   set {
      name="mujj"
   }
}
}

破晓 · 发表于 2007 年 1 月 29 日 21:07:40

我好笨阿
最简单！！！
把所有字符串用简单的加密法则加密，例如md5！
然后比对！！
还怕用密码框注入鸟？

账号		自动登录	找回密码
密码			注册